您的银行客户信息真的“安全”吗？

――以“中信银行(601998,股吧)泄露个人信息案”为切入点

陈海阳

一、事件起因

2020年5月6日下午，著名脱口秀演员池子（本名：王越池）在微博发表长微博。其称在与上海笑果文化传媒有限公司（下称“笑果文化”）的经济纠纷中，笑果文化寄送的案件材料里，竟有自己在中信银行的个人账户交易明细。在咨询律师后，遂向中信银行发出律师函。中信银行起初并未予以回复，后在7日凌晨，中信银行官方微博发布致歉信，并对支行行长予以撤职。

｜池子在微博中写道，“你也没有我的身份证，你也没有我的银行卡，你也没有司法机关的调查令，笑果文化竟然能从中信银行拿到我近两年的流水还打印出来，你为什么不干脆把余额全取出来拿走呢？之后我们打电话给中信银行，中信银行说这是配合大客户的要求。”

中信银行虹口支行称其是在配合大客户的要求查询池子的个人账户流水。但是根据相关规定，查询个人账户流水信息查询时，要求本人凭借有效证件才能查询，或者公检法等部门出具相应的证明；也可以通过自助回单机，持有银行卡和密码查询流水。当然，用人单位也可查询个人账户流水。但必须是在员工和公司签订的劳动协议或者其他协议中，有授权查询银行流水条款，当公司和员工出现纠纷需要查询员工的银行流水时，公司可以向公检法机构申请，经批准后，可到银行查询。用人单位查询员工个人账户流水，不仅应当在合同中有明确的授权条款，还应当向公检法部分申请并经批准，方能查询员工个人账户流水。而中信银行虹口支行在未获其本人授权、没有司法机关调查令的情况下，为维护大客户的关系将员工个人账户流水信息提供给上海笑果文化传媒有限公司，无疑属于侵犯公民个人信息的违法行为。

二、银行到底是如何泄露客户信息？

商业银行等金融机构掌握着大量用户、非常关键的信息数据。近年来，个人银行账户信息泄露情况频频发生，网络上不乏买卖个人银行流水的“黑市”，且交易价格不菲。银行内部员工表示，只要是银行员工，有内部授权就可查询客户流水。据了解，查询个人银行流水的价格，不同银行价格不同，打印某四大行储蓄卡一年流水的价格为16000元，一个星期内回单，查询者仅需提供银行卡号、姓名。“黑市”中对于“查询流水”的报价高低不一，但均以千元计。

由于目前银保监会加大对于金融违法行为的打击力度，利用职权直接查询客户信息进行倒卖的风险性太高，银行内部员工一般不会选择这种方式。在倒卖银行客户信息产业链中，出现了一种作为中转站的“中间商”。银行职员高管一般会将自己的查询账号卖给中间商，再由中间商将账号卖给有银行关系的“出单渠道”团伙，再由另外一家银行的员工进入内网系统，大肆窃取个人信息。

2016年10月，四川绵阳警方破获公安部挂牌督办的“5・26侵犯公民个人信息案”，抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元，成功打掉了侵犯公民个人隐私的这一黑色产业链。此案中，农商银行某支行行长夏某售卖征信系统查询账号，一般两天时间，夏某就会修改密码，然后再进行出售，价格一般都在数万元；中信银行职员戴某某、韩某某2人，通过获取的征信系统查询账号登录银行内网，获取公民个人征信报告50余万份，以30-50元不等的价格出售给各级中间商。

01 原北京银行(601169,股吧)员工售卖个人征信信息830余条

2017年8月至2017年12月，被告人吴某某在北京银行股份有限公司上海分行张江支行临时工作期间，在明知目的不正当的情况下，仍帮助诸某某、陈某某违规为闫某查询公民个人征信信息，将查询的相关征信信息通过邮箱发送给闫某，并收取相关费用。截至案发，公安机关查证被告人吴某某共计向闫某提供公民个人征信信息830余条。

江苏省徐州市云龙区人民法院认定，吴某某违反国家有关规定，向他人出售公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪，且与他人系共同犯罪。根据被告人吴某某的犯罪情节和悔罪表现，对其适用缓刑，判决吴某某犯侵犯公民个人信息罪，判处有期徒刑一年二个月，缓刑一年二个月，并处罚金人民币4000元。

02 原建行余姚城建支行行长泄露财产信息千余条招揽业务

2017年3月17日，沈某某应周某要求，将从鲁某听处非法获取的余姚市东城名苑业主的财产信息共计1111条通过QQ邮箱非法提供给周某用于招揽业务。同年4月20日，沈某某在担任建行余姚城建支行行长期间，将该行受理的贷款客户财产信息共计127条提供给周某用于招揽业务。2018年8月15日，沈某某主动向公安机关投案，如实供述了上述犯罪事实，并于2019年8月14日被余姚市人民检察院取保候审。凤凰网财经《银行财眼》查阅天眼查信息发现，沈某某于2015年3月26日至2019年3月26日期间担任建行余姚城建支行负责人。

浙江省余姚市人民法院认定，沈某某违反国家有关规定，向他人提供公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。其中部分公民个人信息系被告人在履职过程中获得并提供给他人，依法应从重处罚。鉴于被告人沈静冲的犯罪情节及悔罪表现，依法宣告缓刑，判决沈某某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币六千元。

三、银行泄露客户信息行为是否构成犯罪？

｜《中华人民共和国刑法》第253条之一

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

｜《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第一条 “公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第三条 向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形。

根据刑法及相关司法解释的规定，银行或其职员在提供金融服务过程中，未经客户的同意，将获得的客户信息，非法出售或提供给他人，无疑属于侵犯公民个人信息罪中的提供公民个人信息行为，并且由于银行这一金融机构的特殊性，行为人应当从重处罚。

本罪属于典型的情节犯，相关司法解释对作为犯罪构成的“情节严重”与“情节特别严重”作出了明确规定。司法解释从侵犯公民个人信息罪的数量维度（50条、500条、5000条）、获利金额维度（5000元）、与他人犯罪的关系维度（行踪轨迹信息被用于犯罪；明知他人犯罪为其提供个人信息）、前科维度（曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚的）这四个维度评价侵犯公民个人信息行为的犯罪严重程度。银行或银行工作人员侵犯公民个人信息行为若要构成犯罪，需满足刑法规定该罪构成要件中的情节要素规定。

银行账户信息是个人信息的重要部分，在我国法律上本来是受到严格保护的。

公开资料显示，我国法律对单位及个人的银行账户信息设置了极为严格的保护措施，

2018年5月，银保监会印发的《银行业金融机构数据治理指引》明确提出，银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问权限，监控访问行为，完善数据安全技术，定期审计数据安全。世界通信行业巨头威瑞森公司曾在一份报告中指出，近四分之一的数据泄露是由于企业内部人员操作不当或主动泄露造成的。

2019年12月，央行将《个人金融信息（数据）保护试行办法（征求意见稿）》。向金融机构征求意见，明确金融机构应当按照国家档案管理和电子数据管理规定，采取技术措施和其他必要措施，妥善保管和存储所收集的消费者金融信息，防止信息遗失、毁损、泄露或者篡改。金融机构及其工作人员应当对消费者金融信息严格保密，不得泄露或者非法向他人提供。在确认信息发生泄漏、毁损、丢失时，金融机构应当在72小时以内采取补救措施并告知金融消费者。

2020年3月6日，中国银保监会办公厅发布的《关于预防银行业保险业从业人员金融违法犯罪的指导意见》中第15条再次强调“严防信息科技领域违法犯罪行为”，其中提到银行保险机构要“加强对客户信息收集、维护、使用人员的培训管理。在内部产品和业务流程设计上落实客户信息安全控制和风险提示。明确约定涉及客户资料交接的对外合作保密条款，消除信息泄露隐患。严防从业人员利用职权和管理漏洞，篡改后台数据，盗取资金，以及非法复制数据、贩卖客户信息等行为。

今年初，央行发布了2020年规章制定工作计划明确，将制定《中国人民银行金融消费者权益保护实施办法》（《办法》）。根据2019年末的征求意见稿，消费者金融信息是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。

个人金融信息安全，事关每一个人。

陈海阳律师

北京市京师（上海）律师事务所高级合伙人

专注刑事诉讼、刑事合规及风险防范

本文首发于微信公众号：雪山财经。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。

（责任编辑：张洋 HN080）